ePrivacy, l’integrazione del GDPR
Il GDPR, una norma da integrare
25 maggio 2018: ecco il GDPR, il nuovo regolamento europeo sulla protezione dei dati personali. In realtà, i regolamenti che dovevano nascere quel giorno, nelle intenzioni del legislatore europeo, erano due: gemelli eterozigoti. Diversi ma uguali nelle finalità, l’uno più corpulento, l’altro più acuto ma bisognoso di essere sostenuto. Alla fine, è nato solo quello più corpulento, l’altro è rimasto nelle pieghe delle procedure legislative dell’UE. E, così, prima o poi nascerà il “Regolamento relativo al rispetto della vita privata ed alla tutela dei dati personali nelle comunicazioni elettroniche”, il cosiddetto regolamento ePrivacy. Per ora, è fermo come proposta[i] ma esprime già tutta la sua portata.
Il regolamento ePrivacy nasce dall’esigenza di:
- far evolvere le previsioni contenute nella direttiva 2002/58/EC[ii], così come modificata dalla direttiva 2009/136/EC[iii];
- uniformare, rendendole direttamente applicabili, le norme di tutela delle comunicazioni elettroniche nei paesi membri.
Il testo ePrivacy si muove in uno specifico contesto di trattamento di dati personali (comunicazioni elettroniche) e, per questo motivo, è sostenuto da tutto quello che è previsto dal GDPR (definizioni, principi, autorità di controllo, ecc.). Infatti, l’articolo 1 sottolinea che il regolamento tende a “precisare e ad integrare” quanto stabilito dal regolamento europeo 679/2016.
L’attualità della proposta di ePrivacy discende da un recente parere fornito dal Comitato Europeo per la Protezione dei Dati Personali[i] che commenteremo a conclusione di una sintesi dei contenuti del regolamento in bozza.
Le somiglianze
Analogamente al GDPR, ePrivacy si disinteressa del luogo in cui ha la sede legale il fornitore di reti o servizi di comunicazione elettronica (il titolare del trattamento, nel lessico del GDPR) e si dichiara applicabile a tutti i cittadini dell’Unione Europea. Questo vuol dire che l’impiego da parte di un utente italiano di un servizio di posta elettronica fornito da una società statunitense richiede che il servizio sia fornito conformemente alle norme UE.
Inoltre, sempre in sintonia con il GDPR, ePrivacy si applica a prescindere dal pagamento di un corrispettivo da parte dell’utente.
Anche il meccanismo dei controlli e delle sanzioni è simile al GDPR. Infatti, le autorità di controllo (per l’Italia il Garante per la Protezione dei Dati Personali) che devono garantire la tutela dei dati personali potranno esercitare i loro poteri anche in materia di tutela delle comunicazioni elettroniche. In caso di sanzioni, vale lo stesso meccanismo che prevede la doppia marcia con escalation: fino a 10.000.000 di euro per le violazioni meno gravi (elevabili al 2% del fatturato) e fino a 20.000.000 di euro per le violazioni più gravi (elevabili al 4% del fatturato).
Alcune differenze
La differenza più evidente riguarda l’ambito soggettivo di tutela. Il GDPR tutela i dati personali riferiti alle sole persone fisiche mentre l’ePrivacy tutela le comunicazioni relative a persone fisiche e persone giuridiche. Questo è chiarito bene nel capitolo 2 della relazione di accompagnamento della proposta di regolamento il quale specifica che la sua finalità ultima è quella di rendere effettivo il diritto al rispetto della vita privata e familiare previsto dall’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea[i]. Questo diritto, secondo specifiche sentenze della Corte di Giustizia dell’Unione Europea[ii] e della Corte Europea dei Diritti dell’Uomo[iii] (ricordiamo che l’art. 8 della Convenzione Europea dei Diritti dell’Uomo[iv] è il gemello del predetto articolo 7), è rivendicabile, per quanto riguarda la riservatezza delle comunicazioni, anche dalle persone giuridiche oltre che dalle persone fisiche.
Un’altra differenza rilevante riguarda la distinzione tra i contenuti delle comunicazioni elettroniche ed i relativi metadati. I contenuti sono la voce, i video, i testi che viaggiano da un mittente ad uno o più destinatari mentre i metadati sono i dati che accompagnano i contenuti ma che sono funzionali a consentire che la comunicazione possa avvenire con successo (data, ora, luogo, tipo di messaggio, ecc.). La differenza è precisata in relazione alla base giuridica che ne consente il trattamento (sempre con l’obbligo di minimizzarne la conservazione). Per i metadati, il trattamento è consentito:
- se c’è il consenso dell’interessato a patto che le finalità non siano raggiungibili anonimizzando i dati;
- se è necessario per garantire la qualità del servizio (prevista dall’atteso codice europeo per le comunicazioni elettroniche[i], anch’esso non ancora varato ma ad un passo dall’approvazione definitiva visto l’accordo sul testo raggiunto il 29 giugno scorso dagli ambasciatori dei paesi dell’UE[ii]);
- se è necessario per scopi di fatturazione o rilevazione di usi fraudolenti.
Per i contenuti, invece, le basi di liceità sono ridotti a:
- consenso dell’interessato rispetto ad un servizio che non potrebbe essere fornito senza il trattamento dei contenuti;
- consenso di tutti gli interessati per uno o più fini specifici previa consultazione dell’autorità di controllo conformemente all’art. 36 del GDPR.
Il consenso, come è ovvio, può essere revocato in qualsiasi momento ma ePrivacy offre una ulteriore tutela imponendo al fornitore di servizi di comunicazione elettronica di ricordare all’utente questo diritto con una frequenza pari a sei mesi.
Infine, diversamente dal GDPR, l’ePrivacy impone la cancellazione o all’anonimizzazione immediata dei contenuti e dei metadati non appena il destinatario abbia ricevuto la comunicazione, salvo che l’interessato non abbia acconsentito diversamente. Solo i metadati utili a scopo di fatturazione possono essere conservati fino alla scadenza del periodo, previsto dalla legge nazionale, utile alla contestazione delle fatture.
Le intrusioni nella vita privata
L’ePrivacy, oltre ad integrare il GDPR sul fronte riservatezza, estende il proprio campo d’azione all’invadenza derivante dalle comunicazioni (prevalentemente telefoniche e email) cui, in Italia, ha tentato di dare una prima risposta la legge n. 5/2018 (legge sul telemarketing).
Le comunicazioni che prevedono una chiamata tramite numero identificativo dovranno essere filtrabili dall’utente chiamato che sarà messo in grado, dal suo fornitore di servizi di comunicazione, di configurare il rifiuto delle chiamate sconosciute oltre che quelle provenienti da determinati numeri o prefissi.
Sulle email pubblicitarie, infine, non cambia molto rispetto all’attuale disciplina prevista dal nostro Codice della Privacy. È previsto, infatti, che il mittente debba ottenere il consenso del destinatario a meno che non si verifichino tutte le seguenti condizioni allo stesso tempo
- il destinatario deve essere già cliente del mittente;
- l’email contenga pubblicità di merci o servizi analoghi a quelli già venduti;
- il destinatario sia messo in grado di opporsi, gratuitamente ed agevolmente, alle email pubblicitarie.
Il parere dell’EDPB
Le tante novità contenute nella proposta ePrivacy non hanno pienamente convinto il Comitato Europeo per la Protezione dei Dati Personali (EDPB) che, il 28 maggio scorso, ha adottato un parere per sollecitare alcune riflessioni da parte della Commissione Europea, del Parlamento Europeo e del Consiglio Europeo. In particolare, dopo aver chiesto di chiudere rapidamente l’iter legislativo, ha ribadito l’importanza di includere nel provvedimento:
- uno specifico divieto nell’applicazione del legittimo interesse o del generico riferimento al contratto quali basi giuridiche per il trattamento;
- una precisa e sistematica disciplina per l’acquisizione del consenso via web o tramite app affinché l’interessato sia guidato in maniera efficace all’espressione di un consenso libero, specifico, informato ed inequivocabile;
- una apposita proibizione dei cosiddetti cookie wall cioè della tecnica che impedisce la fruizione di un servizio senza l’accettazione dell’installazione di cookie sul proprio terminale.
Note
- [i] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=EN
- [ii] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32002L0058&from=EN
- [iii] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32009L0136&from=EN
- [iv] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_en.pdf
- [v] http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN
- [vi] http://curia.europa.eu/juris/celex.jsf?celex=62006CJ0450&lang1=en&lang2=IT&type=TXT&ancre
- [vii] https://hudoc.echr.coe.int/eng#{%22languageisocode%22:[%22FRE%22],%22appno%22:[%2263629/10%22,%2260567/10%22],%22documentcollectionid2%22:[%22CHAMBER%22],%22itemid%22:[%22001-153318%22]}
- [viii] https://www.echr.coe.int/Documents/Convention_ENG.pdf
- [ix] https://eur-lex.europa.eu/resource.html?uri=cellar:c5ee8d55-7a56-11e6-b076-01aa75ed71a1.0015.02/DOC_1&format=PDF
A cura di: Francesco Maldera
Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it